Política de protecció de dades

INTRODUCCIÓ

L’objectiu d’aquesta Política és establir les directrius que tots els nivells de l’entitat hauran de seguir en matèria de Protecció de Dades de caràcter personal.

Aquesta Política conté una descripció dels elements clau, tant humans com organitzatius, tecnològics i documentals, que la l’AJUNTAMENT DE MAÇANET DE LA SELVA aplica per protegir les dades de caràcter personal, evitant que es produeixin vulneracions dels drets i llibertats dels interessats.

En tots els nivells de l’entitat es vetllarà per l’aplicació real i efectiva de les directrius establertes en aquesta Política en matèria de protecció de dades, de manera que aquest sistema d’autoregulació aconsegueixi l’eliminació de comportaments que poguessin posar en risc les dades personals tractades per l’entitat.

ÀMBIT D'APLICACIÓ

• Àmbit Societari. - Aquesta Política serà aplicable en l’AJUNTAMENT DE MAÇANET DE LA SELVA.
• Àmbit personal. - Aquesta Política serà aplicable a tots els nivells de l’Ajuntament de Maçanet, incloent-hi els òrgans d’administració, els càrrecs directius, els òrgans de control i la totalitat del personal.
• Àmbit relacional. - L’àmbit d’aplicació d’aquesta Política s’estendrà, en la mesura del possible, als proveïdors, assessors, ciutadans i altres tercers de l’Ajuntament de Maçanet.
• Àmbit geogràfic. - Aquesta Política s’aplicarà a les relacions públiques i privades que l’Ajuntament de Maçanet estableixi en qualsevol àmbit geogràfic.

NORMATIVES APLICABLES

Aquesta Política està adaptada a la normativa següent:

• Reglament General de Protecció de Dades de la UE (RGPD)
• Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals
• Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic
• Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge

Es faran les adaptacions necessàries d’aquesta Política en funció dels canvis legislatius que es produeixin, així com als criteris establerts en:

• Les guies, informes i resolucions de l’Agència Espanyola de Protecció de Dades
• Les guies, informes i resolucions de les autoritats de control dels restants Estats membres de la Unió Europea
• El Grup de Treball de l’Article 29
• Les sentències del Tribunal de Justícia de la Unió Europea

Les sentències de l’Audiència Nacional, el Tribunal Suprem i el Tribunal Constitucional.

RISCOS DEL NEGOCI EN MATÈRIA DE PROTECCIÓ DE DADES

L’especial naturalesa de les dades personals, la complexitat de la normativa aplicable i la quantia de les sancions establertes en ella generen riscos com l’accés no autoritzat, la còpia no autoritzada, la comunicació o la cessió a tercers i altres infraccions previstes en el RGPD i la normativa local.

Els riscos derivats de l’incompliment de les obligacions legals establertes en matèria de protecció de dades són els següents:

• Sancions administratives
• Delictes contra la intimitat
• Indemnitzacions de danys i perjudicis
• Danys reputacionals

La protecció de les dades personals és un dels valors de l’Ajuntament de Maçanet i és un objectiu prioritari de l’entitat que exigeix una sèrie de mesures jurídiques, tècniques i organitzatives, que es resumeixen en aquesta Política i es detallen en les seves normes i procediments propis.

OBJECTIU DE LA PROTECCIÓ DE DADES

Els objectius de L’Ajuntament de Maçanet en matèria de protecció de dades estan alineats amb la resta d’administracions públiques, donant prioritat al compliment de les obligacions legals que siguin aplicables a l’activitat municipal.

Es considerarà un objectiu prioritari de la protecció de dades el compliment del Reglament General de Protecció de Dades de la Unió Europea i la Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals.

En tots els nivells de l’Ajuntament de Maçanet existirà el compromís de complir els objectius fixats en matèria de protecció de dades i els principis i obligacions establerts en aquesta Política.

L’Ajuntament de Maçanet podrà elaborar normes i procediments que desenvolupin, concretin i detallin de la present política.

PRINCIPIS DE LA PROTECCIÓ DE DADES

L’estratègia de l’Ajuntament de Maçanet en matèria de protecció de dades complirà els principis que es descriuen a continuació:

• Principi de licitud: el tractament de dades personals serà lícit si es basa en el consentiment de l’interessat o en alguna altra base de legitimació establerta en la Llei.
• Principi de transparència: l’interessat haurà de ser informat de totes les circumstàncies relatives al tractament.
• Principi de lleialtat: les dades personals no podran ser tractades en circumstàncies diferents de les informades.
• Principi de limitació de la finalitat: les dades personals seran recollides amb finalitats determinades, explícites i legítimes, i no seran tractades posteriorment de manera incompatible amb aquestes finalitats.
• Principi de minimització de dades: les dades personals hauran de ser adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades. Aquest principi i l’anterior es desenvolupen en els principis de necessitat i proporcionalitat que s’apliquen a les avaluacions d’impacte.
• Principi d’exactitud: les dades personals hauran de ser exactes i, si fos necessària, actualitzades, adaptant-se totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.
• Principi de limitació del termini de conservació: les dades personals hauran de ser mantingudes de manera que es permeti la identificació dels interessats durant no més temps del necessari per a les finalitats del tractament de les dades personals.
• Principi d’integritat i confidencialitat: les dades personals hauran de ser tractades de tal manera que es garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades. Les dades personals només seran accessibles per a les persones usuàries autoritzades a accedir-hi i no podran ser comunicades a tercers sense la corresponent autorització.
• Principi de responsabilitat proactiva: l’ajuntament serà responsable del compliment del que disposa la normativa de protecció de dades, i haurà de ser capaç de demostrar aquest compliment.
• Protecció de dades des del disseny i per defecte: en els nous tractaments, projectes, serveis i productes es farà una avaluació prèvia del seu impacte en matèria de protecció de dades.

ROLS I RESPONSABILITATS

Tots els rols i responsabilitats estaran diferenciats i, en la mesura del possible, seran assignats de manera individualitzada en la descripció del lloc de treball. A més d’aquesta assignació individualitzada, totes les persones que pertanyin a l’Ajuntament de Maçanet, fos quin fos el seu nivell, estaran obligades a complir les normes, procediments i controls establerts en matèria de seguretat de la informació.

La màxima responsabilitat del control en matèria de protecció de dades correspondrà a Direcció.

L’Ajuntament de Maçanet disposa de normes i procediments on s’estableixen les obligacions del personal en matèria de protecció de dades.

L’Ajuntament de Maçanet adoptarà les mesures necessàries perquè el personal conegui de manera comprensible les obligacions en matèria de protecció de dades que afectin el desenvolupament de les seves funcions, així com les conseqüències del seu incompliment.

DELEGAT DE PROTECCIÓ DE DADES

L’Ajuntament de Maçanet nomenarà un Delegat de Protecció de Dades (DPD), la funció del qual serà supervisar el compliment de les normatives de protecció de dades dins de la nostra organització. El DPD actua com a punt de contacte per a totes les qüestions relacionades amb el tractament de dades personals i garanteix que s’implementin les mesures adequades per protegir la privacitat de les dades. A més, el DPD s’encarregarà de realitzar auditories periòdiques, assessorament al personal, i col·laborar amb les autoritats de control en cas d’incidents de seguretat o consultes. Tots els nivells de l’Ajuntament de Maçanet cooperaran amb el DPD per assegurar el compliment de les directrius establertes en aquesta política.

REGISTRE D'ACTIVITATS DEL TRACTAMENT

L’Ajuntament de Maçanet disposarà d’un registre de tractaments en el qual els detalls dels tractaments autoritzats com a Responsable del Tractament; així com un altre registre dels tractaments realitzats com a Encarregat del Tractament.

D’acord amb el principi de privacitat des del disseny i per defecte, i atesa la impossibilitat que els òrgans de control coneguin totes i cadascuna de les activitats relacionades amb dades personals que es duen a terme en cada departament, cada nou tractament o cada tractament que modifiqui els atributs i característiques assignats al mateix en el registre de tractaments, haurà de ser comunicat al Comitè de Protecció de Dades per tal que ho avaluï i ho autoritzi en el cas que no suposi un risc per als drets i llibertats dels interessats.

Així mateix, l’Ajuntament de Maçanet informarà del tractament de les dades personals a tots els interessats a través de les clàusules informatives i de consentiment de conformitat amb l’article 13 i 14 RGPD.

ANÀLISIS DE RISCOS

Tots els tractaments subjectes a aquesta Política de Seguretat hauran de passar per una anàlisi de risc, avaluant les amenaces i els riscos als quals estan exposats. Aquesta anàlisi es repetirà periòdicament.

L’Ajuntament de Maçanet realitzarà periòdicament una anàlisi dels riscos i amenaces que afectin la protecció de dades.

L’anàlisi de riscos es farà a través d’un mapa de riscos inherents, en el qual s’avaluïn els riscos bruts existents abans de l’aplicació dels controls de prevenció, detecció i mitigació, després de la qual cosa es farà un mapa de riscos residuals, en el qual s’avaluïn de forma automatitzada els riscos nets existents després de l’aplicació dels controls.

PAUTES PER MINIMITZAR ELS RISCOS

Per a la gestió i minimització de riscos l’Ajuntament de Maçanet aplicarà mesures de seguretat físiques, en el personal, administrativa i en la xarxa tals com:

• Seguretat d’accés lògic: l’ajuntament aplica mesures de seguretat per a la protecció dels accessos lògics.

• Accés lògic de les persones als sistemes informàtics: L’entitat aplicarà un sistema de doble factor d’autenticació. D’una banda, la persona usuària serà assignada per l’Administrador del Sistema i serà la pròpia persona usuària qui assignarà la seva pròpia contrasenya D’altra banda, la persona usuària rebrà un codi per validar aquesta autenticació.

La contrasenya sempre serà inintel·ligible fins i tot per a l’Administrador. En cas necessari (p.e., que l’usuari l’hagi oblidat), l’Administrador del Sistema podrà forçar un procés de canvi de contrasenya per part de la persona usuària sense necessitat de l’anterior.

• Control d’accés a dades i recursos: L’entitat elaborarà les normes i procediments que desenvolupin, concretin i detallin les mesures de control indicades en aquest apartat

• Sistemes operatius: Tots els Sistemes Operatius utilitzats en els sistemes informàtics de l’ajuntament precisen d’una validació i autenticació per al seu accés i utilització.

• Virus i malware: Tots els ordinadors de l’ajuntament tindran instal·lat un programari antivirus i antimalware que s’actualitzarà de forma periòdica. També es disposarà de firewalls que controlin el trànsit de xarxa i que comptin amb detecció d’intrusions no autoritzades.

Les persones usuàries seran informades puntualment de les mesures bàsiques per tal de prevenir l’entrada de virus i malware.

• Gestió de les persones usuàries: S’haurà d’actualitzar la relació de totes les persones usuàries de la Xarxa que tenen accés autoritzat al Sistema d’informació, amb la delimitació dels seus nivells d’accés de tal manera que garanteixi la seva confidencialitat i integritat. Així mateix, l’ajuntament realitzarà controls d’accés i monitoratge dels sistemes informàtics posats a disposició dels treballadors a fi de protegir la informació.

• Limitació d’accés: Per accedir als recursos informàtics cal tenir assignada prèviament un compte de la persona usuària i estar donat d’alta en els servidors de domini. L’autorització de l’accés establirà el perfil necessari amb el qual es configurin les funcionalitats i privilegis disponibles en les aplicacions segons les competències de cada persona usuària, adoptant una política d’assignació de privilegis mínims necessaris per a la realització de les funcions encomanades. Així mateix, s’utilitza el factor de doble autentificació per a l’accés als servidors de domini.

• Seguretat wi-fi i xarxes sense fil: l’ajuntament aplicarà les mesures adequades per protegir l’accés indegut a la wi-fi de l’entitat.

• Servidors i suports físics: Tota la informació confidencial, així com les dades de caràcter personal s’emmagatzemen en servidors de proveïdors externs que ofereixen un nivell adequat de compliment al que concerneix la protecció de dades i de la seguretat de la informació.

• Còpies de seguretat: Totes les còpies de seguretat realitzar per tercers abasten tota la informació necessària per recuperar el servei en cas de corrupció o pèrdua de la informació (dades, programes, fitxers de configuració i, fins i tot, la imatge d’alguns servidors). Així mateix, disposen els protocols relatius a les còpies de seguretat i recuperació de dades.

Per a tots els sistemes rellevants es definiran els estàndards de seguretat, que inclouran, almenys, la següent informació: periodicitat de les còpies de seguretat, períodes de retenció de les còpies, ubicació dels suports de seguretat, procediments de recuperació de la informació procediments de restauració i verificació de la integritat de la informació recolzada.

• Autenticació: Els codis de les persones usuàries i contrasenyes són personals i intransferibles, essent la persona usuària l’única responsable de les conseqüències que puguin derivar-se del mal ús, divulgació o pèrdua dels mateixos.

• Seguretat en el lloc de treball: S’informarà els travadors de les normes establertes per l’ajuntament que s’hagin d’aplicar en relació amb la seguretat en el lloc de treball, entre les quals es destaquen el bloqueig automàtic de dispositius que requereixi activació a través de contrasenya després de certs minuts d’inactivitat, així com l’aplicació d’una política de paper zero en les taules de treball.

• Dispositius mòbils: l’Ajuntament de Maçanet establirà les oportunes mesures de seguretat en els dispositius mòbils corporatius.

Aquelles persones usuàries que tinguin assignats dispositius mòbils corporatius hauran de complir les normes d’ús específiques, i aplicar les corresponents mesures de seguretat.

OBLIGACIONS CONTRACTUALS 

A més de les exigències legals en matèria de protecció de dades, l’Ajuntament de Maçanet estarà obligada també a complir els requisits específics de protecció de dades que li exigeixin els seus clients i proveïdors en relació a les dades de caràcter personal al que accedeixin en virtut de les seves relacions contractuals amb ells.

L’Ajuntament de Maçanet prestarà especial atenció a les obligacions contractuals de les quals es derivin tractament de dades personals.

L’Ajuntament de Maçanet elaborarà i mantindrà actualitzat un registre en el qual identificarà i prioritzarà les obligacions relacionades amb la protecció de les dades personals a què accedeixi o tracti.

L’Ajuntament de Maçanet comprovarà periòdicament que les obligacions contractuals assumides en matèria de protecció de dades siguin conegudes en tots els nivells de l’entitat.

CONTROL DE PROVEÏDORS DES DEL PUNT DE VISTA DE PRIVACITAT 

L’Ajuntament de Maçanet elaborarà un registre de tots els proveïdors que tractin dades personals per compte de l’entitat o tinguin accés directe a dades personals gestionades per l’entitat.

En el cas que fos necessari contractar un nou servei que exigís tractament de dades, l’Ajuntament de Maçanet efectuarà una selecció de proveïdors i un procés d’avaluació tenint en compte les garanties exigides en la Llei en matèria de protecció de dades.

En aquesta avaluació es donarà prioritat als proveïdors que ofereixin majors garanties en matèria de protecció de dades.

La relació amb els proveïdors que tractin o que tinguin accés directe o indirecte a dades personals estarà regulada sempre en un contracte que inclourà una secció específica sobre les obligacions que haurà de complir el proveïdor. Aquestes obligacions inclouran, com a mínim, les establertes a l’article 28 del RGPD.

TERMINIS DE CONSERVACIÓ DE DADES

L’Ajuntament de Maçanet conservarà les dades personals de tal manera que es permeti la identificació dels interessats només durant el temps necessari per a les finalitats del tractament d’aquestes dades. Per això, l’ajuntament elaborarà i mantindrà actualitzada una taula en la qual establirà el termini de conservació de les dades que hagi o que consideri convenient conservar.

En l’elaboració d’aquesta taula es tindran en compte els terminis de prescripció de les infraccions i les limitacions que estableix el RGPD i Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals. També es tindrà en compte les obligacions legals, sectorials i contractuals que puguin exigir terminis superiors de conservació.

L’Ajuntament de Maçanet haurà de tenir en compte també els terminis indicats als interessats en el moment d’informar-los dels seus drets.

En relació a la destrucció de la documentació, s’haurà de realitzar de manera que es garanteixi la confidencialitat durant tot el seu procés.

GESTIÓ DE LES BRETXES I INCIDÈNCIES DE SEGURETAT

Qualsevol situació que pugui comprometre la confidencialitat, integritat, disponibilitat, autenticitat o traçabilitat de la informació de l’ajuntament es considerarà una bretxa de seguretat.

Per això, l’ajuntament haurà d’establir les mesures oportunes en matèria de ciberseguretat, que inclouran la protecció davant amenaces que provinguin de les xarxes de comunicacions, com ara els ciberatacs, els atacs de denegació de serveis, els accessos no autoritzats i el segrest de sistemes o ransomware, entre d’altres.

Qualsevol persona que tingués coneixement o sospita d’algun incident que pogués afectar la protecció de les dades haurà de comunicar-ho immediatament a través dels canals establerts per a això.

En el supòsit que la bretxa o l’incident de seguretat poguessin suposar un risc per als drets i llibertats per a les persones físiques, s’haurà de notificar, com a molt tard 72 hores després que n’hi hagués constància, a l’Autoritat de Control competent, això és, l’Autoritat Catalana de Protecció de Dades.

L’Ajuntament de Maçanet disposa d’un protocol en el qual es defineix la sistemàtica seguida per l’entitat per a la notificació i la gestió d’incidents i vulnerabilitats de seguretat amb el propòsit d’assegurar que els incidents de seguretat i les debilitats associades amb els sistemes d’informació es registrin i es tractin convenientment, mitjançant les oportunes activitats de reparació i resolució, i de la restauració dels nivells normals de funcionament dels serveis afectats, podent adoptar accions correctores per eliminar-ne les causes i prevenir-los en un futur.

FORMACIÓ I CONSCIENCIACIÓ

Tot el personal de l’Ajuntament de Maçanet té l’obligació de conèixer i complir la Política de Protecció de Dades. Per això, l’ajuntament promourà una activitat constant de formació i conscienciació en tots els nivells de l’ajuntament en matèria de protecció de dades.

La formació podrà basar-se en sessions presencials o en cursos d’e-Learning.

La conscienciació podrà basar-se en qualsevol tipus de materials i instruments de comunicació i formació que permetin conscienciar sobre els riscos d’infracció a tots els nivells de l’ajuntament.

Cada treballador serà responsable de complir amb aquesta política i els protocols que es derivin segons el seu lloc de treball, així com de notificar les incidències de seguretat que es detectin.

PREVENCIÓ D'INFRACCIONS

El principal objectiu de l’ajuntament amb aquesta Política i les seves normes, procediments i controls que la desenvolupen, és prevenir infraccions dels drets i llibertats dels interessats i complir amb la normativa de protecció de dades de caràcter personal.

El principal marc de referència que es tindrà en compte per complir aquest objectiu serà el RGPD, que estableix dos grups d’infraccions: les greus i les molt greus.

A les infraccions greus es podran aplicar sancions de fins a 10 milions d’euros o el 2% de la xifra de negoci anual global de l’ajuntament. En aquest grup s’inclourien, per exemple, mesures tècniques o organitzatives inadequades, contractació d’encarregats de tractament sense garanties suficients, manca de notificació d’una violació de dades, etc. A les infraccions molt greus es podran aplicar sancions de fins a 20 milions d’euros o el 4% de la xifra de negoci anual global de l’ajuntament. En aquesta categoria s’inclourien els casos de tractament il·lícit, consentiment il·lícit, vulneració del deure de confidencialitat, etc.

ACTUALITZACIÓ I MILLORA D'AQUESTA POLÍTICA

Aquesta Política serà actualitzada periòdicament per tal de reflectir els canvis i millores en matèria de protecció de dades. L’Ajuntament de Maçanet realitzarà una verificació periòdica de l’aplicació de les mesures de prevenció i control, i proposarà les oportunes modificacions que es requereixin en cas de detectar infraccions rellevants d’aquesta política, canvis significatius, o canvis en els sistemes d’informació de l’entitat.